“U盘病毒”的常见症状：

症状一：伪文件夹U盘病毒

U盘原来存在的文件夹全部被隐藏，取而代之的是一个伪装成文件夹图标的EXE文件。

因为操作系统缺省情况下，并不显示已知文件类型的文件扩展名，也就是说类似于“我的工作报告.exe”的程序，缺省情况下我们只看到“我的工作报告”，并且这个文件看上去就是个文件夹，很多人就会去直接双击访问。

这个病毒很聪明，当你双击访问这个“我的工作报告”文件夹时，病毒会跳到被隐藏的真实文件夹中，你没有感觉到任何异常，而事实上，你已经执行了一次病毒程序。

如果你修改了文件夹选项，配置了显示文件的扩展名，这个文件夹伪装者就会露出真面目。

症状二：关键文件Autorun.inf

Autorun.inf文件本身并不是病毒，它是自动运行的一个配置文件。这个文件通常在驱动器的根目录下(是一个隐藏的系统文件)，文件的内容包含着一些简单的命令，告诉系统这个新插入的光盘或硬件应该自动启动什么程序，也可以告诉系统让系统将它的盘符图标改成某个路径下的图标，它的格式通常是下面这样：
    [AutoRun]
    open=auto.exe //自动运行auto.exe程序
    shellexecute=auto.exe //启动指定的auto.exe
    shell\Auto\command=auto.exe //定义设备右键菜单执行命令行,右键U盘的时候会出现auto菜单

症状三：披着各种伪装的U盘病毒

病毒伪装成各种运行程序，唉，又是Windows 缺省设置在帮助病毒传播者欺骗用户，缺省显示文件扩展名不就好多了。

U盘病毒伪装者利用社会工程学成功的入侵了超过600万台PC。

查看全部 >>

“U盘病毒”的清除方案

需要指出，如果仅在U盘、移动硬盘、数码存储卡或手机内存卡中发现伪装成文件夹图标的EXE文件，或者仅看到autorun.inf，这并不表示你的电脑已经中了U盘病毒，而只能表示，这个存储介质曾经中过U盘病毒，或者曾经安装过某个U盘免疫工具。

我们可以使用金山清理专家的进程管理器分析可疑进程：

现象一：使用金山系统急救箱扫描系统，看看是否有可疑的加载项，检查系统是否已经中了U盘病毒：

在急救箱把U盘病毒的加载项禁用之后，我们就可以搜索系统中的异常文件(修改文件夹选项，选择查看隐藏文件和受保护的操作系统文件，显示文件扩展名)，当我们发现一个伪装成文件夹图标的exe文件时，可以观察其大小，生成日期，然后使用windows的查找功能，将同样大小，同样生成日期的exe文件全部找出来，确认无误后，直接删除。(哈哈，我喜欢用这招手动删除病毒^_^)

独立版本的进程管理器点击这里下载!

现象二：在排除系统中毒的情况下，只需简单的删除U盘上的病毒文件就可以了，发现和识别U盘病毒非常简单：

我们可以用记事本打开autorun.inf(你可以先运行notepad打开记事本，再把autorun.inf拖进去查看，不用担心会中毒)

根据“open=”的值，如果没有检查到对应的EXE文件，表示这个U盘上曾中过毒，但病毒已经被清除了；如果我们根据“open＝”的值，找到对应的EXE文件，当然就可以直接将其删除。

某些情况下会出现删除失败，这可能是病毒修改了该文件的访问权限，关于如何修改访问权限完成删除，请参考论坛的文章-《顽固文件夹的删除思路》

现象三：有时候病毒作者会创建一个畸形的文件，导致简单的删除操作会失败：

你只需要把以下命令保存为扩展名为.bat的文件，将该畸形文件拖放到这个bat文件的图标上即可完成删除！

特别提醒：因该操作非常危险，会无条件删除未被占用的任何文件或文件夹，请一定不要误操作，假如你把windows 文件夹拖到这个bat的图标上，请不要骂我^_^|||

查看全部 >>